Conectando-se a vários clusters com o CloudHSM CLI

Com o Client SDK 5, você pode configurar a CLI do CloudHSM para permitir conexões com vários clusters do CloudHSM a partir de uma única instância da CLI.

Use as instruções neste tópico para usar a CLI do CloudHSM e use a funcionalidade de vários clusters para se conectar a vários clusters.

Pré-requisitos de vários clusters

• Dois ou mais AWS CloudHSM clusters aos quais você gostaria de se conectar, junto com seus certificados de cluster.

• Uma instância do EC2 com grupos de segurança configurados corretamente para se conectar a todos os clusters acima. Para obter mais informações sobre como configurar um cluster e a instância cliente, consulte Introdução ao AWS CloudHSM.

• Para configurar a funcionalidade de vários clusters, você já deve ter baixado e instalado a CLI do CloudHSM. Se ainda não tiver feito isso, consulte as instruções em Conceitos básicos com a Interface da Linha de Comando da CloudHSM (CLI).

• Você não poderá acessar um cluster configurado com, ./configure-cli[.exe] -a pois ele não estará associado a umcluster-id. Você pode reconfigurá-lo seguindo config-cli add-cluster as instruções descritas neste guia.

Configure a CLI do CloudHSM para funcionalidade de vários clusters

Para configurar sua CLI do CloudHSM para a funcionalidade de vários clusters, siga estas etapas:

1. Identifique os clusters aos quais você deseja se conectar.

2. Adicione esses clusters à configuração da CLI do CloudHSM usando o subcomando configure-cli, conforme descrito abaixo. add-cluster

3. Reinicie todos os processos da CLI do CloudHSM para que a nova configuração entre em vigor.

configure-cli add-cluster

Ao se conectar a vários clusters, use o configure-cli add-cluster comando para adicionar um cluster à sua configuração.

Sintaxe

configure-cli add-cluster [OPTIONS]
        --cluster-id <CLUSTER ID> 
        [--region <REGION>]
        [--endpoint <ENDPOINT>]
        [--hsm-ca-cert <HSM CA CERTIFICATE FILE>]
        [--server-client-cert-file <CLIENT CERTIFICATE FILE>]
        [--server-client-key-file <CLIENT KEY FILE>]
        [-h, --help]

Exemplos

Adicione um cluster usando o parâmetro cluster-id

Use o parâmetro configure-cli add-cluster junto com cluster-id para adicionar um cluster (com o ID decluster-1234567) para a sua configuração.

Linux

$ sudo /opt/cloudhsm/bin/configure-cli add-cluster --cluster-id cluster-1234567

Windows

C:\Program Files\Amazon\CloudHSM\> .\configure-cli.exe add-cluster --cluster-id cluster-1234567

dica

Se o uso de configure-cli add-cluster com o parâmetro cluster-id não resultar na adição do cluster, consulte o exemplo a seguir para obter uma versão mais longa deste comando que também requer os parâmetros --region e --endpoint para identificar o cluster que está sendo adicionado. Se, por exemplo, a região do cluster for diferente daquela configurada como padrão da AWS CLI, você deverá usar o parâmetro --region para usar a região correta. Além disso, você pode especificar o endpoint da AWS CloudHSM API a ser usado na chamada, o que pode ser necessário para várias configurações de rede, como usar endpoints de interface VPC que não usam o nome de host DNS padrão para. AWS CloudHSM

Adicione um cluster usando os parâmetros cluster-id, endpoint e region

Use configure-cli add-cluster junto com os parâmetros cluster-id, endpoint e region para adicionar um cluster (com o ID de cluster-1234567) à sua configuração.

Linux

$ sudo /opt/cloudhsm/bin/configure-cli add-cluster --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com

Windows

C:\Program Files\Amazon\CloudHSM\> .\configure-cli.exe add-cluster --cluster-id cluster-1234567 --region us-east-1 --endpoint https://cloudhsmv2.us-east-1.amazonaws.com

Para obter mais informações sobre os parâmetros --endpoint, --cluster-id e --region, consulte Parâmetros.

Parâmetros

--cluster-id <Cluster ID>

Faz uma chamada DescribeClusters para encontrar todos os endereços IP da interface de rede elástica (ENI) do HSM no cluster associado ao ID do cluster. O sistema adiciona os endereços IP ENI aos arquivos de AWS CloudHSM configuração.

nota

Se você usar o --cluster-id parâmetro de uma instância do EC2 em uma VPC que não tem acesso à Internet pública, deverá criar uma interface VPC endpoint à qual se conectar. AWS CloudHSM Para obter mais informações sobre os endpoints da VPC, consulte AWS CloudHSM e VPC endpoints.

Obrigatório: Sim

--endpoint <Endpoint>

Especifique o endpoint AWS CloudHSM da API usado para fazer a DescribeClusters chamada. Você deve definir essa opção em combinação com --cluster-id.

Obrigatório: Não

-- hsm-ca-cert <HsmCA Certificate Filepath>

Especifica o caminho do arquivo para o certificado CA do HSM.

Obrigatório: Não

--region <Region>

Especifique a região do seu cluster. Você deve definir essa opção em combinação com --cluster-id.

Se você não fornecer o parâmetro --region, o sistema escolherá a região tentando ler as variáveis de ambiente AWS_DEFAULT_REGION ou AWS_REGION. Se essas variáveis não estiverem definidas, o sistema verificará a região associada ao seu perfil no seu arquivo de AWS Config (normalmente ~/.aws/config), a menos que você tenha especificado um arquivo diferente na variável de ambiente AWS_CONFIG_FILE. Se nenhuma das opções acima for definida, o sistema usará a região us-east-1 como padrão.

Obrigatório: Não

-- server-client-cert-file <Client Certificate Filepath>

Caminho para o certificado de cliente usado para autenticação mútua entre cliente e servidor TLS.

Use essa opção somente se não quiser usar a chave padrão e o certificado SSL/TLS que incluímos no Client SDK 5. Você deve definir essa opção em combinação com --server-client-key-file.

Obrigatório: Não

-- server-client-key-file <Client Key Filepath>

Caminho para a chave do cliente usada para autenticação mútua entre cliente e servidor TLS.

Use essa opção somente se não quiser usar a chave padrão e o certificado SSL/TLS que incluímos no Client SDK 5. Você deve definir essa opção em combinação com --server-client-cert-file.

Obrigatório: Não

configure-cli remove-cluster

Ao se conectar a vários clusters com a CLI do CloudHSM, configure-cli remove-cluster use o comando para remover um cluster da sua configuração.

Sintaxe

configure-cli remove-cluster [OPTIONS]
        --cluster-id <CLUSTER ID>
        [-h, --help]

Exemplos

Remover um cluster usando o parâmetro cluster-id

Use o parâmetro configure-cli remove-cluster junto com cluster-id para remover um cluster (com o ID de cluster-1234567) da sua configuração.

Linux

$ sudo /opt/cloudhsm/bin/configure-cli remove-cluster --cluster-id cluster-1234567

Windows

C:\Program Files\Amazon\CloudHSM\> .\configure-cli.exe remove-cluster --cluster-id cluster-1234567

Para obter mais informações sobre o parâmetro --cluster-id, consulte Parâmetros.

Parâmetro

--cluster-id <Cluster ID>

O ID do cluster a ser removido da configuração.

Obrigatório: Sim

Usando vários clusters

Depois de configurar vários clusters com a CLI do CloudHSM, use cloudhsm-cli o comando para interagir com eles.

Exemplos

Definindo um padrão cluster-id ao usar o modo interativo

Use o Modo interativo junto com o cluster-id parâmetro para definir um cluster padrão (com o ID decluster-1234567) da sua configuração.

Linux

$ cloudhsm-cli interactive --cluster-id cluster-1234567

Windows

C:\Program Files\Amazon\CloudHSM\> .\cloudhsm-cli.exe interactive --cluster-id cluster-1234567

Configurando o cluster-id ao executar um único comando

Use o cluster-id parâmetro para definir o cluster (com o ID decluster-1234567) cluster hsm-info do qual obter.

Linux

$ cloudhsm-cli cluster hsm-info --cluster-id cluster-1234567

Windows

C:\Program Files\Amazon\CloudHSM\> .\cloudhsm-cli.exe cluster hsm-info --cluster-id cluster-1234567